AsMa2 نائبة المديرة
المشـاركات : 374 العمر : 37 مـزاجى : بـلدى : مـهنتى : هـوايتـي : تاريخ التسجيل : 11/05/2008 الساعة :
| موضوع: الفيرس الصيني الإثنين سبتمبر 01, 2008 1:09 pm | |
| انتشر فايروس صيني Virus.Win32.Xorer ( مسمى شركة الكاسبر ) بشكل واسع في مواقع الانترنت ونزلت منه عدة اصدارات ,, وحصرت تقريبا 25 اصدار بمسميات خاصه بشركة الكاسبر بعد بحث مضني دام طويلاا Trojan-Dropper.Win32.Agent.bbzVirus.Win32.Xorer.djTrojan.Win32.Pakes.cVirus.Win32.Xorer.xVirus.Win32.Xorer.buVirus.Win32.Xorer.cbVirus.Win32.Xorer.bsVirus.Win32.Xorer.kVirus.Win32.Xorer.abVirus.Win32.Xorer.drVirus.Win32.Xorer.czVirus.Win32.Xorer.dcVirus.Win32.Xorer.dgVirus.Win32.Virut.qVirus.Win32.Xorer.dkVirus.Win32.Xorer.edVirus.Win32.Xorer.ekVirus.Win32.Xorer.ecVirus.Win32.Xorer.dyVirus.Win32.Xorer.cqVirus.Win32.Xorer.caVirus.Win32.Xorer.ebVirus.Win32.Xorer.bVirus.Win32.Xorer.sوفيهم الاصدار Win32.Xorer.fb خبيث بمعنى الكلمه الفيروس خطير واذا اصاب ملفات exe ما ينظف منها ( فقط حذف )طرق الاصابة بالفايروستحدث الاصابة عند تشغيل احد ملفات الفايروس او اي ملف تشغيلي ( exe ) مصاب بهوتصل الينا هذه الملفات اما بتحميلها من الانترنت ,, او استخدام فلااش ميموري على جهاز مصابحيث تنشر الاصابة بالفايروس عند ادخالها بأي جهاز آخر أعراض الاصابة بالفايروسأهم هذه الاعراض: تعطيل جميع برامج الحماية ( المشهوره ) الموجوده على الجهازثقل بتشغيل البرامج ,, عدم تشغيل بعض البرامج ,, اختفاء ( خيار ) اظهار ملفات النظام المخفيةظهور الشاشة الزرقاء عند استخدام الوضع الآمن للويندوزويقوم الفايروس بفتح موقع صيني ,, كما بهذه الصورهتم تغير ابعاد الصور لتظهر بشكل كامل بالصفحه.اضغط هنا لاظهارها بالحجم الطبيعي.الابعاد الاصليه للصوره هي 670x257 و حجمها 69KBوايضا من حركاته المزعجه ,, اظهاره لرسائل دعائية عند تصفحك للانترنتتم تغير ابعاد الصور لتظهر بشكل كامل بالصفحه.اضغط هنا لاظهارها بالحجم الطبيعي.الابعاد الاصليه للصوره هي 670x116 و حجمها 35KBملفات الفايروس واماكنهاكود:c:\037589.logc:\894729.logc:\118766.log c:\119141.log c:\118688.logc:\118610.logc:\122610.logc:\122438.logc:\118219.logc:\118563.logc:\118454.logc:\119266.log--------------------c:\pagefile.pif c:\pagefile.exec:\AUTORUN.INF تنسخ على جميع محركات الجهاز----------------------------------------c:\~.EXE.????.exec:\lsass.exe.????.exec:\SMSS.exe.????.exe????= ارقام متغيره--------------------%windir%\system32\Com\netcfg.000 %windir%\system32\Com\netcfg.dll%windir%\system32\Com\lsass.exe%windir%\system32\Com\smss.exe%windir%\system32\dnsq.dll ----------------%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe.????.exe????= ارقام متغيره----------------%Temp%\RarSFX0%Temp%\irsetup.exe%Temp%\@2.tmp%windir%\system32\ntfsus.exe %windir%\system32\wmdrtc32.dll%windir%\system32\wmdrtc32.dl_%windir%\system32\894729.log%windir%\system32\118766.log %windir%\system32\119141.log %windir%\system32\118688.log%windir%\system32\118610.log%windir%\system32\122610.log%windir%\system32\122438.log%windir%\system32\118219.log%windir%\system32\118563.log%windir%\system32\118454.log%windir%\system32\119266.log------------------------------------------Virus.Win32.Xorer.x النسخةتستخدم وتستبدل ملفات الونرار بنسخه من الفايروس%ProgramFiles%\WinRARويجب حذف المجلد بالكامل عمليات الفايروس بالذاكره ( لجميع الاصدارات )كود:%windir%\system32\com\lsass.exe%windir%\system32\com\smss.exe%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe.????.exe%ProgramFiles%\winrar\uninstall.exe%ProgramFiles%\RAR.exe%Temp%\RarSFX0\Setup.exe????.logc:\~.EXE.????.exec:\lsass.exe.????.exec:\SMSS.exe.????.exe????= ارقام متغيرهوايضا يقوم بدمج ملفه dnsq.dll بعمليات الملفات التاليةكود:%Windir%\explorer.exe%ProgramFiles%\messenger\msmsgs.exe%Windir%\dns\sdnsmain.exe%ProgramFiles%\internet explorer\iexplore.exe%Temp%\irsetup.exe%windir%\system32\ntfsus.exe%windir%\system32\dllhost.exeمفاتيح لمسجل النظام ,, يقوم بحذفها الفايروسكود:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}](Default) = "DiskDrive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}](Default) = "DiskDrive" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\SuperHidden]Type = "radio" مفاتيح لمسجل النظام ,, يقوم باضافتها الفايروسكود:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{450EC9C 4-0F7F-407F-B084-D1147FE9DDCC}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D990123 9-34A2-448D-A000-3705544ECE9D}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2D9 6C4BF-8DCA-4A97-A24A-896FF841AE2D}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAC 17985-187F-4457-A841-E60BAE6359C2}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{81429 3BA-8708-42E9-A6B7-1BD3172B9DDF}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtr l.1 كيفية التخلص من الفايروسللأسف الفايروس من الصعب حذفه باستخدام برامج الحماية ,,, اوبالطرق التقليدية كـ سكربتات الحذف من الدوساو حذفه باستخدام مستعرض الويندوز ,, وحتى لو نعطل ملفات الفايروس الاساسية باستخدام مدير المهام او اي اداة اخرىواذا حذفنا هذه الملفات ,, شوي والخبيث يرجع من جديد وترجع ملفاته وولقضاء على هذا الخبيث نستخدم ادوات حذف الملفات بعد التشغيلكـ Killbox او Unlocker او bootdeleter او DelLater او The Avenger v2او استخدام هذه الاداة الزيزومية تساعد في التخلص من الفايروس وملفاته بشكل تلقائياداة التخلص من جميع اصدارت الفيرس الصينى win.32xorerالحجم : 1.5 ميقابايتالتوافق : ويندوز اكسبي فقطرابط التحميل http://www.megaupload.com/?d=2Z6YMZ04روابط اضافية http://mihd.net/4c3tnob او http://www.zshare.net/download/9699321017e773/طريقة الاستخدام ,,عند تشغيل الاداة سوف تظهر لك القائمة الرئيسية ,, اضغط على ( تشغيل الاداة )لحظات ويعاد تشغيل جهازك تلقائيا ,, وعند دخول سطح المكتب ,, سوف تكمل الاداة عملية الحذف للفايروسبعدها تظهر لك رسالة ,, تبين نتيجة العمليةويجب عليك تحديث برنامج الحماية الموجود لديك ,, وعمل فحص وتنظيف شامل للجهاز منقول للافاده | |
|
AsMa2 نائبة المديرة
المشـاركات : 374 العمر : 37 مـزاجى : بـلدى : مـهنتى : هـوايتـي : تاريخ التسجيل : 11/05/2008 الساعة :
| موضوع: رد: الفيرس الصيني الإثنين سبتمبر 01, 2008 1:11 pm | |
| كان عندي ولسه متخلصه منه حالا | |
|